Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2247-1 rails

Debians sikkerhedsbulletin

DSA-2247-1 rails -- flere sårbarheder

Rapporteret den:

31. maj 2011

Berørte pakker:

rails

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 614864.
I Mitres CVE-ordbog: CVE-2011-0446, CVE-2011-0447.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Rails, Rubys webapplikationsframework. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2011-0446

  Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (XSS), når JavaScript-encoding blev anvendt, gjorde det muligt for fjernarngribere at indsprøjte vilkårligt webskript eller HTML.

• CVE-2011-0447

  Rails validerede ikke på korrekt vis HTTP-forespørgsler, som indeholder en X-Requested-With-header, hvilket gjorde det lettere for fjernangribere at iværksætte angreb i forbindelse med forfalskning af forespørgsler på tværs af websteder (CSRF).

I den gamle stabile distribution (lenny), er dette problem rettet i version 2.1.0-7+lenny0.1.

I den stabile distribution (squeeze), er dette problem rettet i version 2.3.5-1.2+squeeze0.1.

I den ustabile distribution (sid), er dette problem rettet i version 2.3.11-0.1.

Vi anbefaler at du opgraderer dine rails-pakker.